[doc. web n. 10169132]

Parere su istanza di accesso civico - 13 agosto 2025

Registro dei provvedimenti
n. 475 del 13 agosto 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)» (di seguito “RGPD”);

VISTO l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d. lgs. 30/6/2003, n. 196 (di seguito “Codice”);

VISTO l’art. 5, comma 7, del d. lgs. n. 33 del 14/3/2013, recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

VISTA la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione (ANAC), adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. Serie Generale n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

VISTO il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

VISTA la richiesta di parere dei Responsabili aziendali trasparenza e prevenzione della corruzione dell’Azienda Usl Toscana nord ovest, presentata ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

CONSIDERATO che il predetto art. 5, comma 7, prevede che il Garante si pronunci entro il termine di dieci giorni dalla richiesta;

RITENUTO che il breve lasso di tempo per rendere il previsto parere non permette allo stato la convocazione in tempo utile del Collegio del Garante;

RITENUTO quindi che ricorrono i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, nella parte in cui è previsto che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno» (in www.gpdp.it, doc. web, n. 1098801);

Vista la documentazione in atti;

PREMESSO

Con nota in atti i Responsabili aziendali trasparenza e prevenzione della corruzione dell’Azienda Usl Toscana nord ovest hanno chiesto al Garante il parere previsto dall’art. 5, comma 7, del d.lgs. n. 33/2013, in ordine a un provvedimento di diniego parziale di un’istanza di accesso civico.

Dall’istruttoria è emerso che è stata presentata una richiesta di accesso civico da parte di un’Associazione di categoria, avente a oggetto dati riferiti all’anno 2024 riguardanti:

- a) «numero complessivo degli utenti in carico presso i Ser.D presenti nel territorio di competenza [dell’]Azienda Sanitaria, disaggregato per le singole tipologie di dipendenze»;

- b) «numero complessivo degli utenti in carico DGA (Disturbo da gioco d’azzardo) con indicazione di eventuale altra dipendenza associata (come, ad esempio, dipendenza da alcool e/o da sostanze stupefacenti)»;

- c) «dati relativi agli utenti presi in carico riguardanti: 1. età; 2. genere; 3. stato occupazionale; 4. livello di istruzione».

Nell’istanza di accesso civico è precisato che la finalità della richiesta di accesso è lo svolgimento di «attività di ricerca, su scala nazionale, avente a oggetto l’estensione e la natura delle diverse forme di dipendenza, con particolare riguardo a quelle che risultano associate alla dipendenza da gioco d’azzardo».

L’Azienda ha fornito solo alcuni dati, fra cui il numero degli utenti in carico ai SER.D dell’Azienda USL Toscana Nord Ovest nel 2024 e di DGA, divisi per occupazione e titolo di studio, rappresentando di non potere fornire le altre informazioni richieste «al fine di scongiurare il rischio di identificazione degli utenti».

Il soggetto istante, ritenendo il rifiuto non corretto, ha presentato al Responsabile della prevenzione della corruzione e della trasparenza dell’Azienda sanitaria una richiesta di riesame del provvedimento di diniego parziale, insistendo nella propria richiesta di ricevere anche i dati riguardanti il numero di pazienti in carico per ciascuna tipologia di dipendenza; le forme di dipendenza associate al disturbo da gioco d’azzardo (DGA); l’età, il genere, lo stato occupazionale e livello di istruzione riferiti sia ad ogni singola tipologia di dipendenza che ai pazienti affetti da DGA associato alle altre tipologie di dipendenza.

OSSERVA

1. Introduzione 

In generale, occorre ricordare che l’attività del Servizio per le Dipendenze (Ser.D) è rivolta alla prevenzione, diagnosi, cura e riabilitazione delle dipendenze da sostanze illegali (cannabinoidi, eroina, cocaina, anfetamine, ecstasy, LSD, etc.), legali (alcool, fumo, farmaci) e comportamentali (gioco d’azzardo) per utenti residenti e non residenti nel territorio dell’Azienda USL Toscana nord ovest. Pertanto, è indubbio che eventuali «dati personali» di tali utenti sono «dati relativi alla salute», in quanto riguardanti «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35 del RGPD).

Il caso sottoposto all’attenzione del Garante presenta determinate peculiarità e riguarda una questione delicata. Ciò in quanto oggetto dell’accesso civico sono dati non direttamente identificativi dei soggetti interessati, ma esclusivamente dati numerici di particolari soggetti presi in carico presso il Ser.D dell’Azienda sanitaria. In particolare, si tratta dei dati numerici di soggetti con ludopatie, disaggregati tramite diversi parametri indicati dallo stesso soggetto istante (numero di soggetti diviso per singole tipologie di dipendenze e numero di soggetti con disturbo da gioco d’azzardo con indicazione di eventuale altra dipendenza come alcool o stupefacenti; ulteriormente suddiviso per età, sesso, occupazione e livello di istruzione). 

Nel contesto descritto, è necessario ricordare che per dato personale, come noto, non si intende solo il dato direttamente identificativo di una persona (es. nome e cognome), ma «qualsiasi informazione riguardante una persona fisica» anche solo «identificabile» (art. 4, par. 1, n. 1, RGPD). Secondo la disciplina europea di protezione dei dati, si considera identificabile la persona fisica che può essere identificata «direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (ibidem). 

Ciò posto, il caso in esame non riguarda, quindi, il problema dell’ostensione di dati personali direttamente identificativi di soggetti con dipendenze varie, ma della comunicazione di specifici dati numerici a essi riferiti, sicuramente possibile nei limiti in cui non consenta l’identificabilità (anche a posteriori e da parte del soggetto istante o di soggetti terzi) dei soggetti interessati.

Al riguardo, secondo l’Azienda sanitaria, fornire tutti i dati oggetto di accesso, completi degli elementi di dettaglio richiesti dal soggetto istante, potrebbe consentire di re-identificare i soggetti interessati e non si tratterebbe, quindi, di dati realmente anonimi. 

Per il soggetto istante, invece, la predetta Azienda deve fornire tutti i dati richiesti, poiché – come riportato nella richiesta di riesame – «Il richiamo generico al “rischio di identificazione” – riferito a dati aggregati e anonimi – non è sufficiente per poter rigettare l’stanza di accesso civico generalizzato», in quanto per rifiutare l’accesso civico «il pregiudizio agli interessi considerati dai commi 1 e 2 [dell’art. 5-bis] deve essere concreto; quindi, deve sussistere un preciso nesso di causalità tra l’accesso e il pregiudizio». Di conseguenza, sempre secondo il soggetto istante, l’amministrazione «non può limitarsi a prefigurare il rischio di un pregiudizio in via generica e astratta», ma «avrebbe dovuto prendere in considerazione e indicare nella motivazione quali sono i mezzi che si possono ragionevolmente utilizzare per l’individuazione – a posteriori – dei soggetti a cui si riferiscono i dati richiesti, in forma aggregata e anonima, dall’odierno istante».

2. Esclusione dell’accesso civico generalizzato a dati relativi alla salute 

Le argomentazioni presentate dal soggetto istante, così come proposte, non sono condivisibili, in quanto, confondono la valutazione che ha effettuato l’amministrazione sul rischio di re-identificazione dei soggetti utenti dei Ser.D. le cui informazioni – trattandosi di dati sullo stato di salute – non possono essere in nessun caso fornite tramite l’accesso civico secondo quanto previsto dal comma 3, dell’art. 5-bis del d. lgs. n. 33/2013; con la diversa valutazione – che deve essere effettuata in casi diversi da quello in esame in cui l’accesso civico è a dati non riguardanti la salute – sull’esistenza del pregiudizio concreto alla tutela dei dati personali che può portare al rifiuto dell’accesso civico secondo il comma 2 del medesimo articolo.

Si ricorda, infatti, che i dati relativi alla salute rientrano nelle «categorie particolari di dati personali», per i quali è previsto un divieto di trattamento dall’art. 9 del RGPD, a meno che non trovi applicazione uno dei casi descritti nelle lettere da a) a j) del comma 2 del medesimo articolo. Inoltre, data la delicatezza dei predetti dati, il regolamento europeo prevede che gli Stati membri possono accordare ulteriori garanzie e «mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di […] dati relativi alla salute» (ivi, comma 4).

In tale contesto normativo – anche a tutela dei singoli e nel «rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona» (art. 1, comma 1, del Codice) – il legislatore italiano ha mantenuto il “divieto di diffusione” dei “dati relativi alla salute”, ossia la norma che vieta la possibilità di darne «conoscenza […] a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» (art. 2-septies, comma 8; art. 2-ter, comma 4, lett. b, del Codice). Il medesimo divieto è peraltro richiamato dalla disciplina statale in materia di trasparenza, nella parte in cui prevede che «Restano fermi i limiti […] alla diffusione dei dati idonei a rivelare lo stato di salute […]» (art. 7-bis, comma 6, d. lgs. n. 33/2013). 

L’attuazione delle disposizioni citate ha conseguenze anche sulla disciplina dell’accesso civico e sulle valutazioni che l’amministrazione deve effettuare, in via preliminare, nel momento in cui riceve un’istanza che ha a oggetto dati relativi alla salute. 

Come più volte evidenziato da questa Autorità, infatti, la richiesta di accesso civico generalizzato a dati relativi alla salute – presentata ai sensi dell’art. 5, comma 2, d. lgs. n. 33/2013 – poiché ha a oggetto dati personali per i quali è previsto un esplicito divieto di divulgazione dalla disciplina vigente (art. 2-septies, comma 8; del Codice; art. 7-bis, comma 6, del d. lgs. n. 33/2013), rientra in un caso in cui l’accesso civico generalizzato è “escluso” direttamente dal legislatore secondo la disposizione contenuta nell’art. 5-bis, comma 3, del d. lgs. n. 33/2013, ossia tramite «una norma di rango primario a tutela di interessi pubblici e privati fondamentali» (cfr. Linee guida dell’ANAC in materia di accesso civico, cit., par. 6). 

Pertanto, essendo un caso di «eccezione assoluta», l’amministrazione «è tenuta a rifiutare l’accesso» (ivi), senza necessità di effettuare ulteriori valutazioni di merito in ordine alla sussistenza di un eventuale pregiudizio “concreto” alla tutela degli interessi dei soggetti coinvolti (cfr. i pareri contenuti nei provvedimenti del Garante in materia di accesso civico a dati sulla salute: n. 118 del 6/3/2025, in www.gpdp.it, doc. web n. 10120270, par. 2.b; n. 598 del 15/12/2023, doc. web n. 9976123; n. 358 del 31/10/2022, ivi, doc. web n. 9830919; n. 137 del 22/4/2022, ivi, doc. web n. 9774019; n. 157 del 23/4/2021, ivi, doc. web n. 9582723; n. 188 del 10/4/2017, ivi, doc. web n. 6383249; n. 206 del 27/4/2017, ivi, doc. web n. 6388689; n. 98 del 22/2/2018, ivi, doc. web n. 8165944; n. 226 del 16/4/2018, ivi, doc. web n. 8983848; n. 2 del 10/1/2019, ivi, doc. web n. 9084520). 

Quanto riportato è rafforzato dalle Linee guida dell’Anac in materia di accesso civico nella parte relativa alle «Eccezioni assolute» all’accesso civico, dove è indicato che «Nella valutazione dell’istanza di accesso, l’amministrazione deve […] verificare che la richiesta non riguardi atti, documenti o informazioni sottratte alla possibilità di ostensione o ad accesso “condizionato” in quanto ricadenti in una delle fattispecie indicate nell’art. 5-bis co. 3» (par. 6). Nello specifico, nel par. 6.2., intitolato «Altri casi di segreto o di divieto di divulgazione», è precisato che «[…] alcuni divieti di divulgazione sono previsti dalla normativa vigente in materia di tutela della riservatezza con riferimento a: dati idonei a rivelare lo stato di salute, ossia a qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici (art. 22, comma 8, del Codice [oggi art. 2-septies, comma 8]; art. 7-bis, comma 6, d. lgs. n. 33/2013)».

3. Valutazioni sul rischio di re-identificazione dei soggetti interessati e sull’ostensione di dati aggregati nel caso in esame 

Nel contesto descritto, la valutazione da effettuare non riguarda quindi, come riportato in maniera non corretta dal soggetto istante – se «sussiste[…] un […] nesso di causalità tra l’accesso e il pregiudizio» ai soggetti controinteressati utenti dei Ser.D, in quanto – come detto – i dati sulla salute non possono in alcun modo essere forniti tramite l’accesso civico; ma se i dati numerici chiesti dal soggetto istante riguardanti gli utenti del Ser.D., secondo le soglie di aggregazione da lui stesso decise, possono essere forniti in quanto effettivamente anonimi.

La questione dell’accesso civico generalizzato a informazioni aggregate che possono rivelare anche dati sulla salute è stata esaminata più di una volta, sotto diversi profili, da questa Autorità in precedenti pareri le cui motivazioni, per esigenze di chiarezza espositiva, vengono riportate nel loro complesso anche in questa sede, coordinandole – dato il tenore dell’istanza di accesso civico – anche con le indicazioni fornite dal Gruppo art. 29 in tema di anonimizzazione dei documenti (cfr. pareri n. 558 del 12/9/2024, in www.gpdp.it, doc. web n. 10062415; n. 265 del 3/5/2024, ivi, doc. web n. 10061232; nonché pareri n. 82 del 22/2/2024, ivi, doc. web n. 9996647; n. 83 del 22/2/2024, ivi, doc. web n. 9999918; n. 469 del 12/10/2023, ivi, doc. web n. 9956589; n. 552 del 27/11/2023, ivi, doc. web n. 9967883)

3.a. Il dato anonimo

Come sancito dal RGPD, le informazioni anonime sono le «informazioni che non si riferiscono a una persona fisica identificata o identificabile o [i] dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato» (cons. n. 26).

Va ricordato, che – come evidenziato a livello europeo – per identificazione «non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione» (Gruppo art. 29-WP29, “Opinion 05/2014 on Anonymisation techniques”, cit., par. 2.2.2.).

Anonimizzare un documento o un database significa effettuare un trattamento successivo di dati personali in modo tale che gli stessi non possano più essere attribuiti “a una persona specifica”.

L’anonimizzazione è il risultato del trattamento di dati personali volto a impedire “irreversibilmente” l’identificazione dei soggetti interessati (Gruppo art. 29-WP29, «Opinion 05/2014 on Anonymisation techniques», cit., par. 2.2., e passim). Nel mettere in atto tale procedimento, il titolare del trattamento deve tener conto di diversi elementi e prendere in considerazione tutti i mezzi che “possono ragionevolmente” essere utilizzati per l’identificazione dei soggetti interessati anche a posteriori (ivi, cfr. par. “sintesi”).

Esistono, al riguardo, diverse pratiche e tecniche di anonimizzazione (es.: la randomizzazione e la generalizzazione, l’aggiunta del rumore statistico, le permutazioni, la privacy differenziale, l’aggregazione, il k-anonimato, la l-diversità, la t-vicinanza, ecc.), che presentano gradi variabili di affidabilità, con differenti punti di forza e debolezza. Tali tecniche offrono garanzie di protezione della sfera privata efficaci soltanto se la loro applicazione viene progettata in maniera adeguata, con decisione caso per caso, utilizzando – se possibile – anche combinazione di tecniche diverse (ibidem). Ciò anche ricordando che un insieme di dati resi anonimi può comunque presentare rischi residui per le persone interessate (ibidem).

3.b. Il dato aggregato

L’aggregazione è una tecnica di anonimizzazione che è volta «a impedire l’individuazione di persone interessate mediante il loro raggruppamento con almeno k altre persone» (Gruppo art. 29-WP29, “Opinion 05/2014 on Anonymisation techniques, del 10/4/2014”, in https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf, par. 3.2.1.).

Dal punto di vista tecnico, per effettuare la predetta operazione è necessario sottoporre «i valori degli attributi […] a una generalizzazione tale da attribuire a ciascuna persona il medesimo valore» (ibidem). 

Affinché la tecnica di aggregazione dei dati sia efficace al fine di ridurre il rischio di re-identificazione, è necessario rispettare le opportune soglie di aggregazione dei dati, che devono essere proporzionate al campione di riferimento e alle informazioni ivi contenute. Ciò in quanto, in linea generale, «la sola applicazione ex-ante di tecniche di aggregazione, non consente sempre di prevenire casi di singolarità all’interno di un campione» e «possono, infatti, verificarsi di frequente situazioni, variabili in ragione del contesto, nelle quali la disponibilità di una informazione ausiliaria da parte di un soggetto terzo (cd attaccante) può consentire la re-identificazione di un interessato presente in un campione sottoposto a preventive tecniche di aggregazione» (cfr. par. 7, provv. n. 87 del 19/5/2020, in www.gpdp.it, doc. web n. 9370217).

In tale contesto, si considerano dati aggregati, e quindi non identificativi, «le combinazioni di modalità alle quali è associata una frequenza non inferiore a una soglia prestabilita, ovvero un’intensità data dalla sintesi dei valori assunti da un numero di unità statistiche pari alla suddetta soglia» (art. 4, comma 1, lett. a, recante i «Criteri per la valutazione del rischio di identificazione», delle «Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101», provv. n. 514 del 19/12/2018, in www.gpdp.it, doc. web n. 9069677). Il «valore minimo attribuibile alla soglia è pari a tre» (ibidem).

3.c. Sul rischio di re-identificazione

Il rischio di re-identificazione dei soggetti interessati va accuratamente valutato tenendo conto di «tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici» (cfr. considerando n. 26 del RGPD e WP29 “Opinion 05/2014 on Anonymisation techniques”, cit.).

Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo a impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).

4. Osservazioni sulla richiesta di accesso civico nel caso in esame

Nel caso sottoposto all’attenzione di questa Autorità, l’Azienda sanitaria ha motivato il diniego parziale dell’accesso civico generalizzato, evidenziando di non poter fornire ulteriori dati rispetto a quelli già comunicati al soggetto istante (quali il numero degli utenti in carico ai Ser.D dell’Azienda nel 2024 e di DGA, divisi per occupazione e titolo di studio), in quanto non idoneo a eliminare «il rischio di identificazione degli utenti».

Allo stato degli atti, devono essere tenuti in adeguata considerazione il limitato ambito territoriale di riferimento (gli utenti della sola Azienda USL Toscana Nord Ovest) e la quantità e granularità dei criteri di classificazione degli utenti considerati richiesti dal soggetto istante, quali la tipologia di dipendenza (disturbo da gioco d’azzardo con indicazione di eventuale altra dipendenza come alcool o stupefacenti), diviso per anno, età, sesso, occupazione e livello di istruzione. 

Tali elementi, devono essere prudentemente valutati, considerando quanto sopra evidenziato in merito alle condizioni al ricorrere delle quali l’aggregazione può essere ritenuta un’efficace tecnica di anonimizzazione (cfr. supra par. 3.b). In particolare, è necessario che le soglie di aggregazione dei dati siano proporzionate al campione di riferimento e alle informazioni ivi contenute, in maniera tale che le diverse combinazioni di modalità siano associate a una frequenza non inferire a tre (ibidem) e in modo da poter evitare che, nel caso in esame, sia possibile isolare una determinata persona nel gruppo di riferimento (single-out) o collegare il dato a altri dati riferibili alla persona presenti in distinto insieme di dati (linkability). 

Sul punto, i Responsabili aziendali trasparenza e prevenzione della corruzione dell’Azienda sanitaria, nella richiesta di parere al Garante, hanno correttamente messo in evidenza che «la tutela dei dati sensibili necessit[a] di una maggiore attenzione nel trattamento dei dati e dunque impon[e] un maggior grado di cautela, in particolare ove le informazioni possano indirettamente rendere un soggetto identificabile». 

In tale contesto, risulta inoltre dirimente quanto dagli stessi rappresentato, laddove hanno evidenziato che nel «caso concreto, l’incrocio di tutte le informazioni richieste potrebbe portare, in sottocategorie ove il numero di soggetti è molto limitato» con possibile «identificazione del soggetto» interessato. Ciò anche considerando che – sempre secondo quanto riportato – «richieste simili a quella oggetto del presente quesito, provenienti da associazioni diverse, si ripetono nel tempo e la diffusione dei dati può creare un grave pregiudizio ai soggetti potenzialmente identificabili dall’incrocio dei medesimi, oltreché una sorta di profilazione de[gli] stessi».

In tale contesto, allo stato degli atti, non emergono elementi che consentono a questa Autorità di potersi discostare dalle citate valutazioni effettuate dall’Azienda sanitaria – sulla quale, in base al principio di accountability/«responsabilizzazione» del titolare del trattamento – ricade la valutazione, in concreto, in ordine alla natura identificativa dei dati e al rischio di re-identificazione dei soggetti interessati derivante dalla richiesta di ostensione dei dati richiesti prima descritti (art. 5, par. 2, e 24 del RGPD). Ciò tenendo conto anche della possibilità per il soggetto istante (ma, dato il regime di pubblicità propria dell’accesso civico prevista dall’art. 3, comma 1, del d. lgs. n. 33/2013, anche per soggetti terzi) di incrociare e raffrontare i dati ottenuti con altre informazioni ausiliarie già conosciute o contenute in ulteriori banche dati.

L’eventuale re-identificazione dei soggetti interessati, porterebbe alla conoscenza di dati di natura delicata e idonei a rivelare lo stato di salute (art. 9 del RGPD), per i quali l’accesso civico è comunque escluso (art. 5-bis, comma 3, del d. lgs. n. 33/2013), determinando, peraltro, un’interferenza ingiustificata e sproporzionata nei diritti e libertà dei soggetti controinteressati (art. 5, par. 1, lett. c, RGPD). 

Conformemente ai precedenti orientamenti di questa Autorità, si ricorda, in ogni caso, che le esigenze conoscitive alla base dell’accesso civico debbono poter essere raggiunte in conformità alla disciplina in materia di protezione dei dati personali. Spetta, in ogni caso, al titolare del trattamento valutare la possibilità di comunicare dati adeguati a evitare ogni singolarità o collegabilità a persone fisiche, secondo idonei criteri di aggregazione che possano consentire un’effettiva anonimizzazione dei dati.

5. Osservazioni sul trattamento dei dati personali per scopi di ricerca scientifica o statistica

Quanto, infine, ai profili rappresentati nella richiesta di accesso dal soggetto istante, riguardanti l’esigenza di accedere ai dati richiesti per lo svolgimento di «attività di ricerca, su scala nazionale, avente a oggetto l’estensione e la natura delle diverse forme di dipendenza, con particolare riguardo a quelle che risultano associate alla dipendenza da gioco d’azzardo» – conformemente al recente parere di questa Autorità (provv. n. 419 del 24/7/2025, in corso di pubblicazione in www.gpdp.it) – si ritiene utile rappresentare, per completezza, quanto segue.

I trattamenti di dati personali per scopi di ricerca scientifica o statistica, possono essere svolti solo nel rispetto del RGPD (cfr. in particolare, artt. 5, par. 1, lett. a e b; e 89) e del Codice (art. 104 ss.), nonché delle «Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica», all. n. 5 al provv. n. 497 del 13/12/2018 che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il RGPD e con il d. lgs. n. 101/2018 di adeguamento del Codice (in www.gpdp.it, doc. web n. 9068972) nonché delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, allegato A5 al Codice (provv. n. 515 del 19/12/2018, doc. web n. 9069637), che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5, del d. lgs. n. 101 del 10/8/2018). 

In base alle disposizioni contenute nella disciplina soprariportata, i trattamenti di dati personali per scopi scientifici devono essere effettuati, in particolare, «conformemente agli standard metodologici del pertinente settore disciplinare» da parte di «università, altri enti o istituti di ricerca e società scientifiche, nonché ricercatori che operano nell’ambito di dette università, enti, istituti di ricerca e soci di dette società scientifiche» (art. 2, commi 1 e 2, delle Regole deontologiche, cit.).

Inoltre, è necessario che la ricerca sia «effettuata sulla base di un progetto redatto conformemente agli standard metodologici del pertinente settore disciplinare, anche al fine di documentare che il trattamento sia effettuato per idonei ed effettivi scopi statistici o scientifici» (art. 3, comma 1, ibidem). Il progetto di ricerca deve contenere tutti gli elementi indicati dalla disciplina di settore ivi incluse «le misure da adottare nel trattamento di dati personali, al fine di garantire il rispetto delle presenti regole deontologiche, nonché della normativa in materia di protezione dei dati personali», gli eventuali responsabili del trattamento e la dichiarazione di impegno a conformarsi alle regole deontologiche (art. 3, comma 2, ibidem). Il progetto di ricerca deve essere depositato presso l’università o ente di ricerca o società scientifica cui afferisce il titolare, «la quale ne cura la conservazione, in forma riservata (essendo la consultazione del progetto possibile ai soli fini dell’applicazione della normativa in materia di dati personali), per cinque anni dalla conclusione programmata della ricerca» (art. 3, comma 4, ibidem). In relazione al trattamento delle particolari categorie di dati di cui all’art. 9 del RPCT è, inoltre, necessario rispettare i principi indicati nell’art. 7 delle citate Regole deontologiche.

Gli elementi descritti appaiono difettare nel caso in esame, in quanto allo stato non risultano documentati, considerando che il soggetto istante ha evidenziato solo la necessità di voler ricevere elementi utili per «attività di ricerca, su scala nazionale». Tali indicazioni, con specifico riferimento al caso in esame e per come è stata formulata la domanda di accesso, non soddisfano i requisiti per il trattamento di dati personali per finalità di ricerca scientifica così come disciplinati dalla normativa soprarichiamata. 

TUTTO CIÒ PREMESSO IL GARANTE 

esprime parere nei termini suesposti in merito alla richiesta dei Responsabili aziendali trasparenza e prevenzione della corruzione dell’Azienda Usl Toscana nord ovest, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.

In Roma, 13 agosto 2025

IL PRESIDENTE
Stanzione